30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Sous-Titre 3 La protection des personnes physiques à l?égard des traitements de données à caractère personnel dans le cadre de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé
Chapitre I.er Définitions
Article 106
§ 1
er
Les définitions visées à l'article 26, 1° à 6°, 9° à 14° et
16° à 17°, s'appliquent au présent sous-titre.
§ 2
Pour l'application du présent sous-titre, on entend par:
- 1°
- “la loi du 11 décembre 1998”: la loi du 11 décembre 1998 relative à la classification [, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé];
- 2°
- “la loi du 11 décembre 1998 portant création d'un organe de recours”: la loi du 11 décembre 1998 portant création d'un organe de recours en matière d'habilitations[...] et d'avis de sécurité;
- 3°
- “l'organe de recours”: l'organe de recours visé à l'article 3 de la loi du 11 décembre 1998 portant création d'un organe de recours;
- 4°
- “le responsable du traitement”: la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles;
- 5°
- “autorité de contrôle”: l'autorité publique indépendante chargée par la loi de surveiller l'application du présent sous-titre;
- 6°
- “Comité permanent R”: le Comité permanent de contrôle des services de renseignement visé à la loi du 18 juillet 1991 chargé du contrôle de l'application du présent sous-titre en application de l'article 95.
Chapitre II Champ d'application
Article 107
Le présent sous-titre s'applique à tout traitement de données à caractère personnel dans le cadre des habilitations de sécurité[...] et avis de sécurité visés à la loi du 11 décembre 1998 par:
- 1°
- l'autorité de sécurité visée à l'article [1erbis, 14°, a)], de la loi du 11 décembre 1998;
- 2°
- [les autorités visées à l’article 1erbis, 14°, b) et c), de la loi du 11 décembre 1998];
- 3°
- les autorités visées aux articles [24, 25 et 26] de la loi du 11 décembre 1998;
- 4°
- les officiers de sécurité visés à l'article [1erbis, 15°, de la loi du 11 décembre 1998 et les gestionnaires des avis de sécurité visés à l'article 1erbis, 25°, de la loi du 11 décembre 1998] de la loi du 11 décembre 1998;
- 5°
- les sous-traitants des autorités et personnes visées aux 1° à 4°.
Le présent sous-titre s'applique également à chaque traitement de données à caractère personnel par l'organe de recours dans le cadre des recours visés à la loi du 11 décembre 1998 portant création d'un organe de recours.
Les titres 1er, 2, 4, 5 et 7 de la présente loi ne s'appliquent pas aux traitements visés à l'alinéa 1er. Dans le titre 6, seuls les articles 226, 227 et 230 s'appliquent.
Chapitre III Conditions générales du traitement
Article 108
Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants:
- 1°
- lorsque la personne concernée a indubitablement donné son consentement;
- 2°
- lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée;
- 3°
- lorsque le traitement est nécessaire au respect d'une obligation à laquelle le responsable du traitement est soumis par ou en vertu d'une loi;
- 4°
- lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou une autorité publique à laquelle les données à caractère personnel sont communiquées.
Article 109
Les données à caractère personnel sont:
- 1°
- traitées d'une manière qui est loyal et légitime à l'égard de la personne concernée;
- 2°
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, scientifiques ou statistiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions déterminées par les articles 132 à 137;
- 3°
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement;
- 4°
- exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.
Chapitre IV Nature des données à caractère personnel
Article 110
Dans l'intérêt de l'exercice de leurs missions, les autorités, les organes et les personnes visés à l'article 107 traitent des données à caractère personnel de toute nature, en ce compris celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, celles qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes.
Chapitre V Conservation des données à caractère personnel
Article 111
Les données à caractère personnel sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées et selon les modalités fixées à l'article [47] de la loi du 11 décembre 1998.
Chapitre VI Droits de la personne concernée
Article 112
Lors du traitement de données à caractère personnel la concernant, toute personne physique a droit à la protection de ses libertés et droits fondamentaux, notamment à la protection de ses données à caractère personnel.
Article 113
La personne concernée a le droit de demander:
- 1°
- la rectification ou la suppression de ses données à caractère personnel inexactes;
- 2°
- la vérification auprès de l'autorité de contrôle compétente du respect des dispositions du présent sous-titre.
Article 114
§ 1
er
Afin de garantir la confidentialité et l'efficacité de l'exécution des traitements, l'accès de la personne concernée à ses données à caractère personnel traitées par les autorités, organes et personnes visées à l'article 107, alinéa 1er, est limité à l'information que la personne concernée leur fournit.
Les droits visés à l'article 113, 1° et 2°, à l'égard des traitements visés à l'article 107, alinéa 1er, s'exercent, sans frais, par l'intermédiaire du Comité permanent R, à l'initiative de la personne concernée justifiant de son identité. Le Comité R effectue les vérifications et communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.
§ 2
L'accès par la personne concernée à ses données à caractère personnel traitées par l'organe de recours s'effectue conformément à l'article 6 de la loi du 11 décembre 1998 portant création d'un organe de recours.
Pour l'exercice de ses droits visés à l'article 113, 1°, à l'égard des traitements visés à l'article 107, alinéa 2, la personne concernée s'adresse à l'organe de recours conformément aux modalités fixées par ou en vertu de la loi du 11 décembre 1998 portant création d'un organe de recours.
Article 115
Une décision produisant des effets juridiques négatifs à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
L'interdiction déterminée à l'alinéa 1er ne s'applique pas lorsque la décision est fondée sur une disposition prévue par ou en vertu d'une loi ou lorsqu'elle est nécessaire pour la sauvegarde d'un intérêt public important.
Chapitre VII Obligations du responsable du traitement et du sous-traitant
Section 1.re Obligations générales
Article 116
Le responsable du traitement:
- 1°
- fait toute diligence pour tenir les données à caractère personnel à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance du présent sous-titre;
- 2°
- veille à ce que, pour les personnes agissant sous son autorité, l'accès aux données à caractère personnel et les possibilités de traitement soient limités à ce qui est utile à l'exercice de leurs fonctions ou aux besoins du service;
- 3°
- informe les personnes agissant sous son autorité des dispositions du présent sous-titre et de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel.
Article 117
Lorsque le traitement est confié à un sous-traitant, le responsable du traitement doit:
- 1°
- choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et organisationnelles relatives aux traitements;
- 2°
- veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles;
- 3°
- fixer dans le contrat la responsabilité du sous-traitant;
- 4°
- convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement et que le sous-traitant est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu en application du présent sous-titre.
Article 118
Le sous-traitant est soumis aux mêmes obligations que celles qui incombent au responsable du traitement.
Il ne peut pas confier le traitement de données à caractère personnel à un autre sous-traitant, sauf autorisation expresse du responsable du traitement.
Article 119
Toute personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf sur la base d'une obligation imposée par ou en vertu d'une loi.
Section 2 Responsables conjoints du traitement
Article 120
Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
Un accord définit les obligations respectives des responsables conjoints du traitement, notamment en ce qui concerne l'exercice des droits de la personne concernée et la communication des données à caractère personnel, sauf si leurs obligations respectives sont définies par ou en vertu d'une loi.
Un seul point de contact pour les personnes concernées est désigné dans l'accord. Les responsables conjoints du traitement incluent ce point de contact dans le registre visé à l'article 123.
Section 3 Sécurité des données à caractère personnel
Article 121
Le responsable du traitement ainsi que le sous-traitant prennent les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.
Ces mesures assurent un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à caractère personnel à protéger et des risques potentiels.
Article 122
§ 1
er
En cas de brèche de sécurité susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement la notifie au Comité permanent R dans les meilleurs délais et, si possible, au plus tard 72 heures après en avoir pris connaissance.
§ 2
Le sous-traitant notifie au responsable du traitement toute brèche de sécurité dans les meilleurs délais.
§ 3
La notification visée aux paragraphes 1
er et 2, décrit ou communique à tout le moins:
- 1°
- la nature de la brèche de sécurité y compris et, si possible, le nombre estimé de personnes et d'enregistrements de données à caractère personnel concernés;
- 2°
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
- 3°
- les conséquences probables de la brèche de sécurité;
- 4°
- les mesures que le responsable du traitement ou le sous-traitant a prises ou propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Section 4 Registres
Article 123
§ 1
er
Le responsable du traitement et, le cas échéant son sous-traitant, tiennent un registre d'activités de traitement des données à caractère personnel.
Ce registre comporte, le cas échéant et si possible, les informations suivantes en ce qui concerne les traitements:
- 1°
- les coordonnées du responsable du traitement et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données;
- 2°
- les finalités du traitement;
- 3°
- les catégories des personnes concernées;
- 4°
- les catégories des données à caractère personnel;
- 5°
- les catégories de destinataires principaux auxquels des données à caractère personnel peuvent être communiquées;
- 6°
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris la mention de ce pays tiers ou de cette organisation internationale et, le cas échéant, les documents attestant de l'existence de garanties appropriées;
- 7°
- les délais prévus pour l'effacement des données à caractère personnel;
- 8°
- le recours au profilage;
- 9°
- la base juridique;
- 10°
- une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 121.
§ 2
Le registre visé au paragraphe 1er se présente sous une forme écrite y compris la forme électronique.
§ 3
Le responsable du traitement met le registre à la disposition de l'autorité de contrôle compétente à sa demande.
Le sous-traitant met le registre à la disposition du responsable du traitement ainsi qu'à la disposition de l'autorité de contrôle compétente à sa demande.
Section 5 Délégué à la protection des données
Article 124
§ 1
er
Le responsable du traitement et, le cas échéant, le sous-traitant désignent un délégué à la protection des données. Cette décision est communiquée à l'autorité de contrôle compétente.
Le délégué à la protection des données est titulaire d'une habilitation de sécurité de niveau “très secret”, au sens de la loi du 11 décembre 1998.
§ 2
Le délégué à la protection des données ne peut pas être sanctionné en raison de l'exercice de ses fonctions. Il ne peut pas non plus être relevé de ses fonctions en raison de l'exercice de ses missions, sauf s'il a commis une faute grave ou s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions.
Le délégué à la protection des données peut s'adresser au Comité permanent R pour contester cette décision.
§ 3
Il est chargé de manière indépendante:
- 1°
- de veiller au respect du présent sous-titre lors de tout traitement de données à caractère personnel;
- 2°
- de conseiller toutes mesures utiles afin d'assurer la sécurité des données enregistrées;
- 3°
- d'informer et de conseiller le responsable du traitement, et le cas échéant le sous-traitant, et leur personnel procédant au traitement des obligations qui leur incombent en vertu du présent sous-titre;
- 4°
- de fournir des avis ou des recommandations au responsable du traitement, et le cas échéant, au sous-traitant;
- 5°
- d'exécuter d'autres missions qui lui sont confiées par le responsable du traitement, et le cas échéant le sous-traitant.
Le délégué à la protection des données est le point de contact avec l'autorité de contrôle compétente pour l'application du présent sous-titre.
§ 4
Le responsable du traitement et, le cas échéant, le sous-traitant, veillent à ce que leur délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
Le responsable du traitement et, le cas échéant, le sous-traitant, veillent à ce que leur délégué à la protection des données dispose des ressources nécessaires pour exercer ses missions.
Le délégué à la protection des données peut être assisté par un ou plusieurs adjoints.
§ 5
Le cas échéant, les modalités de fonctionnement, de désignation ainsi que les compétences requises peuvent être définies par le Roi.
Chapitre VIII Communication et transfert de données à caractère personnel
Section 1.re Communication de données à caractère personnel au secteur public et au secteur privé
Article 125
§ 1
er
Par dérogation aux articles 20, 22, 23, 58 et 59 de la présente loi et aux articles 35 et 36 du Règlement, un protocole, un avis du délégué à la protection des données, une analyse d'impact relative à la protection des données et l'avis résultant de la consultation de l'autorité de contrôle compétente ne peuvent pas être exigés comme condition préalable à la communication de données à caractère personnel entre les autorités, les organes ou les personnes visés à l'article 107 et tout organisme public ou privé.
Cette communication se déroule conformément à la loi du 11 décembre 1998.
§ 2
Par dérogation à l'article 20, § 1
er, alinéa 2, de la présente loi, lorsque les parties décident de conclure un protocole, celui-ci porte notamment sur:
- 1°
- l'identification du service public fédéral ou de l'organisme public fédéral qui transfère les données à caractère personnel;
- 2°
- l'identification des responsables du traitement;
- 3°
- les coordonnées des délégués à la protection des données concernés;
- 4°
- les finalités pour lesquelles les données à caractère personnel sont transférées;
- 5°
- la base légale;
- 6°
- les modalités de communication utilisées;
- 7°
- les restrictions aux droits de la personne concernée;
- 8°
- la périodicité du transfert;
- 9°
- la durée du protocole.
Section 2 Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales
Article 126
Le transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale ne peut avoir lieu que si le pays ou l'organisation en question assure un niveau de protection adéquat et moyennant le respect des autres dispositions du présent sous-titre.
Le caractère adéquat du niveau de protection s'apprécie au regard de toutes les circonstances relatives à un transfert de données à caractère personnel ou à une catégorie de transferts de données à caractère personnel. Il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays ou l'organisation en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.
Le niveau de protection adéquat peut être assuré par des clauses de sécurité entre le responsable du traitement et le destinataire des données à caractère personnel.
Article 127
Par dérogation à l'article 126, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale n'assurant pas un niveau de protection adéquat, ne peut être effectué que lorsque:
- 1°
- la personne concernée a indubitablement donné son consentement au transfert envisagé; ou
- 2°
- le transfert est obligatoire dans le cadre des relations internationales; ou
- 3°
- le transfert est nécessaire à la sauvegarde de l'intérêt vital des personnes; ou
- 4°
- le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice.
Chapitre IX Autorité de contrôle
Article 128
§ 1
er
Par dérogation à la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, le Comité permanent R, en sa qualité d'autorité publique indépendante, est désigné comme autorité du contrôle chargée du contrôle du traitement des données à caractère personnel effectué dans le cadre de l'article 107, alinéa 1er, par les autorités et personnes visées au même alinéa.
Le Comité permanent R surveille l'application du présent sous-titre afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard dudit traitement.
§ 2
En sa qualité d'autorité juridictionnelle, l'organe de recours n'est pas soumis au contrôle d'une autorité de protection des données à caractère personnel.
Article 129
Dans le respect de la loi du 11 décembre 1998, le Comité permanent R coopère, le cas échéant, avec les autres autorités de contrôle belges, sans que cela ne porte atteinte aux intérêts visés à l'article 5 de la loi du 11 décembre 1998 portant création d'un organe de recours.
Dans le cadre de l'exercice du contrôle visé à l'article 128, le Comité permanent R communique le résultat de celui-ci en termes généraux aux autres autorités de contrôle compétentes.
Article 130
Les autorités et personnes visées à l'article 107, alinéa 1er, coopèrent avec le Comité permanent R.
Article 131
Dès qu'elle en prend connaissance, une autorité de contrôle informe le Comité permanent R des violations de la règlementation relative aux traitements de données à caractère personnel dans le cadre de l'article 107.
Toute autorité de contrôle saisie d'un dossier susceptible d'avoir une répercussion sur le traitement de données à caractère personnel dans le cadre de l'article 107 se concerte avec le Comité Permanent R.
Chapitre X Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques
Article 132
Par dérogation au titre 4, la consultation à des fins historiques, scientifiques ou statistiques des données à caractère personnel des autorités, l'organe de recours ou les personnes visés à l'article 107 et de leur personnel par un responsable du traitement ultérieur est autorisée si cela ne porte pas atteinte aux intérêts visés par l'article 12, alinéa 1er, de la loi du 11 décembre 1998.
Article 133
Avant leur consultation visée à l'article 132, les données à caractère personnel sont marquées de la mention “Protection des données à caractère personnel – articles 132 à 137 de la loi du 30 juillet 2018”.
Article 134
Les données à caractère personnel visées à l'article 132 sont rendues anonymes préalablement à leur consultation.
Si un traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le responsable du traitement, dans le cadre de l'article 107, peut autoriser la consultation de données pseudonymisées.
Si l'anonymisation ou la pseudonymisation ne rend pas l'identification des données impossible, le responsable du traitement, dans le cadre de l'article 107, refuse la consultation si cela constitue une atteinte disproportionnée à la vie privée.
Si un traitement ultérieur de données pseudonymisées ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le responsable du traitement, dans le cadre de l'article 107, peut autoriser la consultation de données non pseudonymisées si cela ne porte pas une atteinte disproportionnée à la vie privée.
Article 135
Par dérogation au titre 4, une communication ou publication des données à caractère personnel visées à l'article 132 non anonymisées ou non pseudonymisées, consultées par le responsable du traitement ultérieur n'est possible qu'avec l'accord du responsable du traitement dans le cadre de l'article 107 et sous les conditions que celui-ci aura fixées.
Article 136
Le responsable du traitement ultérieur des données à caractère personnel visées à l'article 132 tient un journal de ses activités de traitement ultérieur à des fins historiques, scientifiques ou statistiques.
Ce journal est classifié au sens de la loi du 11 décembre 1998 si le traitement porte sur des données classifiées.
Ce journal comporte les informations suivantes:
- 1°
- les coordonnées du responsable du traitement initial, du responsable du traitement ultérieur et du délégué à la protection des données de ce dernier;
- 2°
- les finalités du traitement ultérieur;
- 3°
- les éventuelles conditions du traitement ultérieur fixées par le responsable du traitement dans le cadre de l'article 107;
- 4°
- les éventuels destinataires autorisés par le responsable du traitement dans le cadre de l'article 107.
Article 137
Toute autorité publique ou toute personne physique ou morale qui traite des données à caractère personnel visées à l'article 132 à des fins historiques, scientifiques ou statistiques est responsable dudit traitement.
Elle n'entreprendra aucune action pour convertir des données anonymes ou pseudonymisées en données non anonymes ou non pseudonymisées.
